Ho un'API in cui i client eseguono l'autenticazione tramite l'autenticazione di base Http (account: apikey). Gli utenti possono generare (e revocare) molti apikey per lo stesso account.
Al momento accetto solo richieste HTTPS, ma mi piace l'idea di abilitare HTTP e, dopo aver eseguito correttamente l'autenticazione dell'account: apikey, disabilita automaticamente quell'apikey sul base che è stato inviato tramite un canale non criptato.
Questo schema può migliorare la sicurezza dell'autenticazione nella mia Api?